FireEye脅威ソース

EventLog Analyzerは、FireEyeからのログデータを処理し、グラフィカルなレポートの形でデータを表示することができます。FireEyeからのログデータの収集を開始するには、FireEyeを脅威ソースとして追加する必要があります。

FireEye脅威ソースの追加方法

FireEye脅威ソースを追加するためには、FireEyeデバイス上でSyslogサービスを設定する必要があります。

1. 管理者としてFireEyeデバイスにログインします。
• Settings > Notificationに移動後、rsyslogとEvent typeを選択します。
2. Add Rsyslog Serverをクリックします。
3. EventLog AnalyzerサーバーのIPアドレス、プロトコルとしてUDP、formatとしてCEFを選択します。
4. Saveをクリックします。

FireEyeデバイスがEventLog Analyzerに追加された後、脅威ソースとして追加する必要があります。

1. EventLog Analyzerにログイン後、設定 > 脅威ソースの管理 > 脅威ソースの追加をクリックします。
2. [既存のホスト]をクリック後、対象デバイスを選択します。
3. [アドオンタイプ]にて、ドロップダウンメニューよりFireEyeを選択します。
4. [追加]をクリックします。

脅威ソースの追加後、EventLog Analyzerはログの解析を開始します。ログデータはレポートで確認できます。

レポートは以下の情報を提供します：

• ドメインマッチ
• マルウェア感染イベント
• コールバック
• マルウェアオブジェクト
• Web感染

また、以下のレポートを提供します：

• 深刻度
• ソースIPS
• ターゲットIPS
• ターゲットポート
• マルウェア
• アクティブセンサー